Сделал ли программист защиту от взлома на сервере?

Цитата ("m1rucus_1st"):

программист предложил 2 варианта: 1. Лиж бы работал. 2. Все будет на 5 с плюсом и быстрая оптимизированная работа, и мало ресурсов сервера потребляющее , и без дырок в коде что хакерам взломать все будет очень сложно. Я выбрал конечно второй вариант т. к. не хотел чтобы этот проект взломали.

Жесть конечно. Избавляйтесь от таких программистов, а в след. раз составляйте договор, в котором прописывайте ответственность исполнителя по каждому пункту.
И вариант 1, предложенный программистом уже не прокатит.
А защиты от хакеров не бывает, это понты и не более.

Цитата ("m1rucus_1st"):

Возможно, ли что защита от хакеров и оптимизация стоит 80-90% от всей цены серверной части?
И как можно проверить сделал ли он вообще оптимизацию и защиту от хакеров?

оптимизация возможно и стоит этих денег, все зависит от уровня оптимизации
проверить можно, заказывайте security audit. только учтите что он делается только по исходному коду.
из банальных проверок:
1) передать вместо числа строку в адресной строке
2) в формы повставлять ' и <xss> -> возникнет либо ошибка либо в исходном коде появится тег <xss>
если есть желание обсудить тему - то давайте пообщаемся приватно


Цитата ("lyoxa"):

А защиты от хакеров не бывает, это понты и не более.

бывает, есть патчи ядра/ОС(openBSD), chroot, selinux, mod_security и различные php скрипты парсерящие get/post/cookie/session

1. Как узнать, что специалист - действительно специалист?

Если сами не имеете такого опыта, найдите опытного знакомого, которому доверяете, и который сможет провести техническое собеседование.
Если не имеете такого знакомого, наймите какого-либо видного матерого спеца, про которого точно известно что он авторитет в данной области.
Оплата нескольких человеко-часов такого спеца, затраченных на собеседования, себя окупит.

2. Как узнать, что оценка проекта спецалиста верна, и не является накруткой?

Аналогично - обратиться к другому спецу, чтобы он проверил оценку исполнителя, и указал в своем отчете все ли тут в порядке.
Желательно, если бюджет позволяет, повторить с различными экспертами, сравнить их отчеты.

3. Как узнать, что разработанная система достаточно оптимизирована?

Нанять тестеров, которые проведут нагрузочное и стресс тестирование.
Отчеты тестеров покажут лучше всего, на какой нагрузке проект будет приемлемо функционировать.

4. Как узнать, что разработанная система достаточно защищена?

Нанять спеца со стороны, имеющего опыт в поиске уязвимостей веб проектов и организации защиты.
Путь проверит то что есть, и подготовит отчет с описанием найденных уязвимостей и с предложениями по их устранению.
В зависимости от бюджета проекта повторить то же самое с 2,3 или большим количеством различных спецов (чем больше тем лучше).
Чем больше потенциальных уязвимостей будет проверено и устранено, тем сложнее будет взломать данную систему.

===============
Правило такое - оценка самого исполнителя во всех вышеприведенных вопросах всегда неверна по определению.
Его мнение всегда предвзято, так как мало кто может качественно оценивать сам себя и результаты своей работы.

Цитата ("e1it3"):

Цитата ("lyoxa"):

А защиты от хакеров не бывает, это понты и не более.

бывает, есть патчи ядра/ОС(openBSD), chroot, selinux, mod_security и различные php скрипты парсерящие get/post/cookie/session

Цитата:

Заплатка, или патч (англ. patch — заплатка)

Остальное на "защиту от хакера" не тянет, максимум защита от/для дурака, которым обычно выступает сам программер.

Цитата:

и различные php скрипты парсерящие get/post/cookie/session

Те-же яйца. Только вот программер привыкнет к таким скриптам и выдаст что-то вроде вашего поста.

Цитата ("lyoxa"):

Остальное на "защиту от хакера" не тянет, максимум защита от/для дурака, которым обычно выступает сам программер.

давайте разговаривать предметно, а не давать определения словам (хотя может вам нравится, тогда можно рассмотреть значение слова хакер)
патчи к вашему сведению бывают разные, бывают патчи безопастности - когда уже ошибка обнаруженна, а бывают патчи для создания безопастности системы, которые ничего не имеют общего с виндовыми патчами

если посмотреть доку по mod_security ссылка то сразу станет понятно что это не игрушка пригодная для зашиты от киддисов, а достаточно серьезный инструмент

Цитата ("lyoxa"):

Те-же яйца. Только вот программер привыкнет к таким скриптам и выдаст что-то вроде вашего поста.

хахаха, magic quotes в php конечно оказались не лучшей попыткой повысить безопастность php кода, но те кто не умел писать код - так его и не научились писать, а остальные пристально обратили внимание на получаемые данные, так что результат достигнут, да и у cmsко писателей появилось достаточно хорошее понимание когда включать а когда нет эту "фичу"

вообще я вижу что вы пытаетесь сказать что взломать возможно все что угодно. так вот практика показывает что все что угодно не взломать

Ps не вам судить о качестве моего поста и моей личности

Цитата ("e1it3"):

бывают патчи безопастности - когда уже ошибка обнаруженна

т.е. исправление ошибки, допущенной программистом.

Цитата ("e1it3"):

а бывают патчи для создания безопастности системы

Впервые слышу о таких, возможно речь идет о принудительных действиях/настройках, которые программист/юзер не в состоянии сделать.

Цитата:

mod_security и различные php скрипты парсерящие get/post/cookie/session

Я еще раз повторю, это не более чем заплатка для кривых рук программиста.
И ни одного аргумента против этой версии я не услышал )

Цитата ("lyoxa"):

Только вот программер привыкнет к таким скриптам...

А вы призываете каждый раз изобретать велосипед? По вашей логике выходит - если я использую драйвер БД, который автоматически защищает меня от SQL-инъекций. то у меня руки кривые...

Нет, не призываю.

Цитата ("Demiurh"):

По вашей логике выходит - если я использую драйвер БД, который автоматически защищает меня от SQL-инъекций. то у меня руки кривые...

Если вы при этом пишете кривой код с надеждой что чудо-драйвер всех обманит, то да.

Цитата ("lyoxa"):

Впервые слышу о таких, возможно речь идет о принудительных действиях/настройках, которые программист/юзер не в состоянии сделать.

смотрим на trustedbsd - пачти для фряхи в чистом виде
Цитата ("lyoxa"):

Я еще раз повторю, это не более чем заплатка для кривых рук программиста.
И ни одного аргумента против этой версии я не услышал )

вернее не захотели услышать
кривые руки даже с хорошим инструментом будут давать плохие результаты
например в одних случаях подойдет htmlspecialchars (простой текст, ббкод) а в других придется юзать специальные библиотеки (htmlpurifier, jevix) которые вырезают лишний js и css код из разметки

Цитата ("m1rucus_1st"):

Посоветуйте знающие программисты :-)

Заказал я у программиста серверную часть проекта (программист предложил 2 варианта: 1. Лиж бы работал. 2. Все будет на 5 с плюсом и быстрая оптимизированная работа, и мало ресурсов сервера потребляющее , и без дырок в коде что хакерам взломать все будет очень сложно. Я выбрал конечно второй вариант т. к. не хотел чтобы этот проект взломали.)

Но вчера я узнаю от программиста который делает всю остальную часть проекта что серверная часть для этого проекта стоит 10-20% от суммы (он имел введу обычную серверную часть с обычной защитой от хакеров , которую бы сделал сам если сроки позволяют.) которую запросил программист серверной части (он пока работает без предоплаты).

Посоветуйте, что мне теперь делать?

Возможно, ли что защита от хакеров и оптимизация стоит 80-90% от всей цены серверной части?

И как можно проверить сделал ли он вообще оптимизацию и защиту от хакеров?

Блин, Вы меня просто удивляете!
Защита всегда стоила в разы дороже самого проекта.
Я имею в виду не те "примочки", которые в готовом виде скачиваются и устанавливаются на сайт, а алгоритм защиты, выполненный индивидуально под сайт.

Всевозможные вырезания "опасных" тэгов защищают только от неопытных хакеров. А разработка собственных алгоритмов шифрования (то есть тех, под которые у хакера нет готового инструмента взлома) требуют дополнительных усилий.

Цитата ("Gardoneh"):

Блин, Вы меня просто удивляете!
Защита всегда стоила в разы дороже самого проекта.

Можете привести пример любого известного проекта (в частности, веб проекта), защита которого стоила бы больше его самого?
Подсказка - является ли это экономически оправданным?

Берусь утверждать, что ни один нормальный менеджер в здравом уме никогда не выделит бюджет на "защиту от хакеров", потому что ее не бывает. Это старый развод на деньги неквалифицированных заказчиков, где можно спокойно усвоить бюджет практически любого размера.

Зато хороший менеджер выделит средства на стороннюю аналитику, наняв лучших, насколько позволит бюджет, спецов по безопасности, или даже тех же хакеров, чтобы они провели аудит системы, по сути, потестили.
И если что-то найдут - то даст своим разработчикам пинка, чтобы оперативно прикрыли.
Так оно и работает.
Так как обеспечение безопасности предусматривается изначально, и учитывается архитекторами при проектировании системы (или при редизайне системы, если проект взят на доработку), причем стоимость этого обычно относительно невысока.

Про разработку своих алгоритмов шифрования и т.д. - это делается только в том случае, если есть соответствующие особые бизнес-требования от заказчика.
Так бывает на специализированных проектах, чаще всего госзаказах со своими стандартами (в частности, оборонка), реже - банковский сектор (но даже и там обычно используют стандартные всем доступные и проверенные временем методики, например шифрование при передаче данных - часто тот же SSL), то есть это довольно малая часть проектов, с которыми обычно сталкиваются разработчики. Редкие случаи.

Впрочем, если проект сделали программисты из сельской школы, а заплатки поручили делать мастерам из Москвы... тогда да, в этом случае "разработка защиты" будет стоить намного дороже, тут согласен ))

Цитата ("tvv"):

Берусь утверждать, что ни один нормальный менеджер в здравом уме никогда не выделит бюджет на "защиту от хакеров", потому что ее не бывает. Это старый развод на деньги неквалифицированных заказчиков, где можно спокойно усвоить бюджет практически любого размера.

Зато хороший менеджер выделит средства на стороннюю аналитику, наняв лучших, насколько позволит бюджет, спецов по безопасности, или даже тех же хакеров, чтобы они провели аудит системы, по сути, потестили.
И если что-то найдут - то даст своим разработчикам пинка, чтобы оперативно прикрыли.
Так оно и работает.
Так как обеспечение безопасности предусматривается изначально, и учитывается архитекторами при проектировании системы (или при редизайне системы, если проект взят на доработку), причем стоимость этого обычно относительно невысока.

Про разработку своих алгоритмов шифрования и т.д. - это делается только в том случае, если есть соответствующие особые бизнес-требования от заказчика.
Так бывает на специализированных проектах, чаще всего госзаказах со своими стандартами (в частности, оборонка), реже - банковский сектор (но даже и там обычно используют стандартные всем доступные и проверенные временем методики, например шифрование при передаче данных - часто тот же SSL), то есть это довольно малая часть проектов, с которыми обычно сталкиваются разработчики. Редкие случаи.

Если стоит вопрос безопасности, то подразумевается, что:
a) есть что защищать
б) есть особые требования безопасности.

SSL является хорошей защитоай от _внешних_ хакеров. Но его можно сломать _изнутри_. Кроме того довольно часто использование SSL неприемлемо по причине несовместимости с другими модулями системы.

Во многих случаях приемлемым компромисом является разработка приложения в виде модуля apache, в который встраивается бизнес-логика и элементы шифрования.

Здесь мы видим первичное увеличение сложности проекта: разработка модуля apache сложнее (и дороже) чем разработка обычного web-приложения.
На той же технологии должны быть построены и администратиыные интерфейсы. И здесь мы наблюдаем вторичное увеличение сложности разработки.

Если хочется использовать AJAX, то соответственно необходимо шифровать JSON на стороне сервера, а на стороне клиента осуществлять расшифровку. И здесь мы наблюдаем ещё один виток наращивания сложности.

Если мы решили отказаться от AJAX и сделать проект в стиле HTML 3.0, то такой проект рискует быть недооцененным заказчиком.


Кстати, постановка задачи почти никогда не звучит как "Сделать защиту..." . Просто для защищённой системы выбираются совсем другие технологии чем для незащищённой.

Поэтому сама постановка задачи ("Во сколько раз защита дороже чем...." некорректна. Правильнее было бы сравнивать расходы на разработку защищённой системы с аналогичными расходами для незащищённой системы. И здесь в первую очередь встаёт вопрос выбора архитектуры. Достаточно ли Вам SSl-защиты? Нужна ли Вам защита от _внутренних_ аттак?
Не является ли предложенный Вам метод защиты ограничением для развития системы? Я знаю случай когда только процесс _выбора_ архитектуры и согласования ТЗ длился несколько месяцев. И несмотря на то что в течение этих месяцев не было написано ни единой строчки кода, программисты регулярно получали зарплаты (то есть расходы на разработку шли, но код не писался!).

И самое главное: во сколько Вы оцениваете свои убытки в случае взлома? Если сумма ущерба достаточно велика (больше чем 50000EURO), то есть смысл тратить доп. средства на разработку защиты. Кстати, что мешает Вам обратиться в страховую компанию и застраховать свой сайт от взлома? Думаю, для Вас это будет наиболее прозрачный и понятный механизм.